felo188 utworzono 7 maja 2009 utworzono 7 maja 2009 Witam, Proszę o sprawdzenie logów. Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:06:40, on 2009-05-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\\WINDOWS\\System32\\smss.exe C:\\WINDOWS\\system32\\winlogon.exe C:\\WINDOWS\\system32\\services.exe C:\\WINDOWS\\system32\\lsass.exe C:\\WINDOWS\\System32\\svchost.exe C:\\WINDOWS\\system32\\Ati2evxx.exe C:\\WINDOWS\\system32\\svchost.exe C:\\WINDOWS\\System32\\svchost.exe C:\\WINDOWS\\system32\\Ati2evxx.exe E:\\Programy\\Avast\\aswUpdSv.exe E:\\Programy\\Avast\\ashServ.exe C:\\WINDOWS\\system32\\spoolsv.exe C:\\WINDOWS\\system32\\agrsmsvc.exe C:\\Program Files\\Common Files\\Microsoft Shared\\VS7DEBUG\\MDM.EXE C:\\WINDOWS\\system32\\svchost.exe E:\\Programy\\Avast\\ashMaiSv.exe E:\\Programy\\Avast\\ashWebSv.exe C:\\Program Files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\AsGHost.exe C:\\WINDOWS\\Explorer.EXE C:\\Program Files\\ATK Hotkey\\Hcontrol.exe C:\\Program Files\\ASUS\\Splendid\\ACMON.exe C:\\WINDOWS\\system32\\wscntfy.exe E:\\Programy\\Avast\\ashDisp.exe C:\\WINDOWS\\RTHDCPL.EXE C:\\WINDOWS\\system32\\ACEngSvr.exe C:\\WINDOWS\\system32\\qttask.exe C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE C:\\WINDOWS\\system32\\ctfmon.exe E:\\Programy\\DAEMON Tools Lite\\daemon.exe C:\\Program Files\\ATK Hotkey\\ATKOSD.exe C:\\Program Files\\ATK Hotkey\\WDC.exe C:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Łącza O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\\Program Files\\AskBarDis\\bar\\bin\\askBar.dll O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\\Program Files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItIEAddIn.dll O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\\Program Files\\AskBarDis\\bar\\bin\\askBar.dll O4 - HKLM\\..\\Run: [JMB36X IDE Setup] C:\\WINDOWS\\RaidTool\\xInsIDE.exe O4 - HKLM\\..\\Run: [CognizanceTS] rundll32.exe C:\\PROGRA~1\\ASUSSE~1\\ASUSSE~1\\Bin\\ASTSVCC.dll,RegisterModule O4 - HKLM\\..\\Run: [ATKHOTKEY] \"C:\\Program Files\\ATK Hotkey\\Hcontrol.exe\" O4 - HKLM\\..\\Run: [ACMON] \"C:\\Program Files\\ASUS\\Splendid\\ACMON.exe\" O4 - HKLM\\..\\Run: [HControl] C:\\WINDOWS\\ATK0100\\HControl.exe O4 - HKLM\\..\\Run: [avast!] E:\\Programy\\Avast\\ashDisp.exe O4 - HKLM\\..\\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\\..\\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\\..\\Run: [QuickTime Task] \"C:\\WINDOWS\\system32\\qttask.exe\" -atboottime O4 - HKLM\\..\\Run: [EPSON Stylus DX3800 Series] C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O6 \"USB001\" /M \"Stylus DX3800\" O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\ctfmon.exe O4 - HKCU\\..\\Run: [cdoosoft] C:\\WINDOWS\\system32\\olhrwef.exe O4 - HKCU\\..\\Run: [DAEMON Tools Lite] \"E:\\Programy\\DAEMON Tools Lite\\daemon.exe\" -autorun O4 - HKUS\\S-1-5-19\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'USŁUGA LOKALNA\') O4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'USŁUGA SIECIOWA\') O4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\') O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\') O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\\Programy\\MSOffice\\OFFICE11\\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\\Programy\\MSOffice\\OFFICE11\\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe O9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe O20 - AppInit_DLLs: APSHook.dll O20 - Winlogon Notify: OneCard - C:\\Program Files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASWLNPkg.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\\WINDOWS\\system32\\agrsmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\\Programy\\Avast\\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\\WINDOWS\\system32\\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - E:\\Programy\\Avast\\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - E:\\Programy\\Avast\\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - E:\\Programy\\Avast\\ashWebSv.exe -- End of file - 4500 bytes ComboFix: ComboFix 09-05-06.08 - Lukasz 2009-05-07 17:15.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1632 [GMT 2:00] Uruchomiony z: c:\\documents and settings\\Lukasz\\Pulpit\\ComboFix.exe AV: avast! antivirus 4.8.1201 [VPS 080611-1] *On-access scanning disabled* (Outdated) . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\\autorun.inf C:\\mt.bat c:\\windows\\system32\\hlvdd.dll c:\\windows\\system32\\nmdfgds0.dll c:\\windows\\system32\\nmdfgds1.dll c:\\windows\\system32\\olhrwef.exe E:\\Autorun.inf E:\\mt.bat . ((((((((((((((((((((((((( Pliki utworzone od 2009-04-07 do 2009-05-07 ))))))))))))))))))))))))))))))) . 2009-05-07 15:06 . 2009-05-07 15:06 -------- d-----w c:\\program files\\Trend Micro 2009-05-07 13:55 . 2009-05-07 06:20 107719 --sh--r C:\\boyedt.com 2009-05-05 12:17 . 2005-02-24 22:00 22016 ----a-w c:\\windows\\system32\\esccmd.dll 2009-05-05 12:17 . 2005-02-24 22:00 46080 ----a-w c:\\windows\\system32\\escimgd.dll 2009-05-05 12:17 . 2005-02-24 22:00 29696 ----a-w c:\\windows\\system32\\escwiad.dll 2009-05-05 12:17 . 2004-09-10 21:12 49152 ----a-w c:\\windows\\system32\\E_DCINST.DLL 2009-05-05 12:17 . 2000-06-07 02:01 34304 ----a-w c:\\windows\\system32\\E_FBCHACE.DLL 2009-05-05 12:17 . 2003-05-21 03:27 64000 ----a-w c:\\windows\\system32\\E_FBCBACE.DLL 2009-05-05 12:17 . 2004-11-25 06:07 79679 ----a-w c:\\windows\\system32\\E_FLMACE.DLL 2009-05-05 12:17 . 2004-08-03 21:01 25856 -c--a-w c:\\windows\\system32\\dllcache\\usbprint.sys 2009-05-05 12:17 . 2004-08-03 21:01 25856 ----a-w c:\\windows\\system32\\drivers\\usbprint.sys 2009-05-05 12:16 . 2009-05-05 12:17 -------- d-----w c:\\program files\\EPSON 2009-05-05 12:15 . 2009-05-05 12:17 -------- d-----w C:\\EPSON 2009-05-05 05:13 . 2009-05-05 05:13 -------- d-----w c:\\program files\\AskBarDis 2009-05-05 05:13 . 2009-05-05 05:13 -------- d-----w c:\\documents and settings\\Lukasz\\Dane aplikacji\\Foxit 2009-05-04 20:40 . 2003-06-18 23:31 17920 ----a-w c:\\windows\\system32\\mdimon.dll 2009-05-04 20:38 . 2009-05-04 20:38 -------- d-----w c:\\program files\\Microsoft Works 2009-05-04 20:37 . 2009-05-04 20:39 -------- d-----w c:\\windows\\SHELLNEW 2009-05-04 20:37 . 2009-05-04 20:37 -------- d-----w c:\\program files\\Microsoft.NET 2009-05-04 20:33 . 1996-11-12 10:12 19051 ----a-w c:\\windows\\system32\\DELTREE.EXE 2009-05-04 20:33 . 1998-06-17 22:00 102912 ----a-w c:\\windows\\system32\\VB6STKIT.dll 2009-05-04 20:29 . 2009-05-04 20:29 -------- d-----w c:\\windows\\system32\\Lang 2009-05-04 19:51 . 2009-05-04 19:53 -------- d-----w c:\\program files\\EPLAN 2009-05-04 19:51 . 2009-05-04 19:53 -------- d-----w c:\\documents and settings\\All Users\\Dane aplikacji\\EPLAN 2009-05-04 19:51 . 2006-11-22 08:01 693760 ----a-w c:\\windows\\system32\\drivers\\hardlock.sys 2009-05-04 19:51 . 2005-09-06 15:06 28672 ----a-w c:\\windows\\system32\\hlduinst.exe 2009-05-04 19:51 . 2006-11-30 09:06 69632 ----a-w c:\\windows\\system32\\hasp_inst_help1.dll 2009-05-04 19:51 . 2006-12-20 08:00 671112 ----a-w c:\\windows\\system32\\hdinst_windows.dll 2009-05-04 19:51 . 2006-12-20 08:00 2511360 ----a-w c:\\windows\\system32\\haspds_windows.dll 2009-05-04 19:51 . 2006-12-20 09:55 3066968 ----a-w c:\\windows\\system32\\hinstd.dll 2009-05-04 19:51 . 2002-07-26 15:02 153088 ----a-w c:\\windows\\system32\\UNWISE.EXE 2009-05-04 19:07 . 2009-05-04 19:07 98304 ----a-w c:\\windows\\system32\\qttask.exe 2009-05-04 19:02 . 2009-05-04 19:02 717296 ----a-w c:\\windows\\system32\\drivers\\sptd.sys 2009-05-04 19:02 . 2009-05-04 19:02 -------- d-----w c:\\documents and settings\\Lukasz\\Dane aplikacji\\DAEMON Tools . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-05 16:53 . 2009-05-04 16:25 86327 ----a-w c:\\windows\\pchealth\\helpctr\\OfflineCache\\index.dat 2009-05-05 14:36 . 2009-05-04 16:55 63592 ----a-w c:\\documents and settings\\Lukasz\\Ustawienia lokalne\\Dane aplikacji\\GDIPFONTCACHEV1.DAT 2009-05-04 19:48 . 2006-03-02 12:00 74648 ----a-w c:\\windows\\system32\\perfc015.dat 2009-05-04 19:48 . 2006-03-02 12:00 448586 ----a-w c:\\windows\\system32\\perfh015.dat 2009-05-04 18:41 . 2009-05-04 18:41 0 ----a-w c:\\windows\\nsreg.dat 2009-05-04 17:37 . 2009-05-04 17:37 -------- d-----w c:\\program files\\Realtek 2009-05-04 17:37 . 2009-05-04 16:43 -------- d--h--w c:\\program files\\InstallShield Installation Information 2009-05-04 17:37 . 2009-05-04 17:37 315392 ----a-w c:\\windows\\HideWin.exe 2009-05-04 17:12 . 2009-05-04 17:12 -------- d-----w c:\\program files\\ASUS 2009-05-04 16:48 . 2009-05-04 16:48 -------- d-----w c:\\program files\\ATK Hotkey 2009-05-04 16:46 . 2009-05-04 16:46 -------- d-----w c:\\program files\\ASUS Security Center 2009-05-04 16:45 . 2009-05-04 16:45 -------- d-----w c:\\program files\\Fingerprint Sensor 2009-05-04 16:43 . 2009-05-04 16:43 -------- d-----w c:\\program files\\Common Files\\InstallShield 2009-05-04 16:39 . 2009-05-04 16:39 0 ----a-w c:\\windows\\ativpsrm.bin 2009-05-04 16:31 . 2009-05-04 16:31 -------- d-----w c:\\program files\\Intel 2009-05-04 16:26 . 2009-05-04 16:26 -------- d-----w c:\\program files\\microsoft frontpage 2009-05-04 16:25 . 2006-03-02 12:00 67 --sha-w c:\\windows\\Fonts\\desktop.ini 2009-05-04 16:24 . 2009-05-04 16:24 -------- d-----w c:\\program files\\Usługi online 2009-05-04 16:22 . 2009-05-04 16:22 21856 ----a-w c:\\windows\\system32\\emptyregdb.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE\\~\\Browser Helper Objects\\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-11-18 10:58 333192 ----a-w c:\\program files\\AskBarDis\\bar\\bin\\askBar.dll [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar] \"{3041d03e-fd4b-44e0-b742-2d9b88305f98}\"= \"c:\\program files\\AskBarDis\\bar\\bin\\askBar.dll\" [2008-11-18 333192] [HKEY_CLASSES_ROOT\\clsid\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\\TypeLib\\{4b1c1e16-6b34-430e-b074-5928eca4c150}] [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"CTFMON.EXE\"=\"c:\\windows\\system32\\ctfmon.exe\" [2006-03-02 15360] \"DAEMON Tools Lite\"=\"e:\\programy\\DAEMON Tools Lite\\daemon.exe\" [2008-07-04 486856] [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"JMB36X IDE Setup\"=\"c:\\windows\\RaidTool\\xInsIDE.exe\" [2008-06-16 36864] \"CognizanceTS\"=\"c:\\progra~1\\ASUSSE~1\\ASUSSE~1\\Bin\\ASTSVCC.dll\" [2003-12-22 17920] \"ATKHOTKEY\"=\"c:\\program files\\ATK Hotkey\\Hcontrol.exe\" [2007-08-23 229376] \"ACMON\"=\"c:\\program files\\ASUS\\Splendid\\ACMON.exe\" [2007-06-26 851968] \"HControl\"=\"c:\\windows\\ATK0100\\HControl.exe\" [2006-07-28 110592] \"avast!\"=\"e:\\programy\\Avast\\ashDisp.exe\" [2008-05-15 79224] \"QuickTime Task\"=\"c:\\windows\\system32\\qttask.exe\" [2009-05-04 98304] \"EPSON Stylus DX3800 Series\"=\"c:\\windows\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE\" [2005-02-08 98304] \"RTHDCPL\"=\"RTHDCPL.EXE\" - c:\\windows\\RTHDCPL.exe [2008-05-28 16862720] [HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] \"CTFMON.EXE\"=\"c:\\windows\\system32\\CTFMON.EXE\" [2006-03-02 15360] [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\winlogon\\notify\\OneCard] 2007-02-06 23:30 74240 ----a-r c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASWLNPkg.dll [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\windows] \"AppInit_DLLs\"=c:\\windows\\system32\\APSHook.dll HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\drivers32 \"wave1\"= serwvdrv.dll [HKEY_LOCAL_MACHINE\\system\\currentcontrolset\\control\\lsa] Notification Packages REG_MULTI_SZ scecli ASWLNPkg [HKLM\\~\\services\\sharedaccess\\parameters\\firewallpolicy\\standardprofile\\AuthorizedApplications\\List] \"%windir%\\\\system32\\\\sessmgr.exe\"= \"c:\\\\Program Files\\\\EPLAN\\\\Education\\\\1.9.6\\\\BIN\\\\W3u.exe\"= R1 aswSP;avast! Self Protection;c:\\windows\\system32\\drivers\\aswSP.sys [2009-05-04 78416] R2 ASBroker;Logon Session Broker;c:\\windows\\System32\\svchost.exe -k Cognizance [2006-03-02 14336] R2 ASChannel;Local Communication Channel;c:\\windows\\System32\\svchost.exe -k Cognizance [2006-03-02 14336] R2 aswFsBlk;aswFsBlk;c:\\windows\\system32\\drivers\\aswFsBlk.sys [2009-05-04 20560] R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\\windows\\system32\\drivers\\l151x86.sys [2009-05-04 36864] [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\svchost] Cognizance REG_MULTI_SZ ASBroker ASChannel [HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{2b1a7faa-38db-11de-8d0c-001f3c0367f3}] \\Shell\\AutoRun\\command - I:\\mt.bat \\Shell\\open\\Command - I:\\mt.bat [HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{566e1e78-38d7-11de-8d08-001f3c0367f3}] \\Shell\\AutoRun\\command - I:\\boyedt.com \\Shell\\open\\Command - I:\\boyedt.com . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-cdoosoft - c:\\windows\\system32\\olhrwef.exe . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - e:\\programy\\MSOffice\\OFFICE11\\EXCEL.EXE/3000 FF - ProfilePath - c:\\documents and settings\\Lukasz\\Dane aplikacji\\Mozilla\\Firefox\\Profiles\\gk440zgi.default\\ FF - prefs.js: browser.search.selectedEngine - Allegro FF - plugin: e:\\programy\\ACE Mega CoDecS Pack\\SystemS\\RealMedia\\Browser\\plugins\\nppl3260.dll FF - plugin: e:\\programy\\ACE Mega CoDecS Pack\\SystemS\\RealMedia\\Browser\\plugins\\nprpjplug.dll FF - plugin: e:\\programy\\Firefox\\plugins\\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-07 17:17 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > \'winlogon.exe\'(596) c:\\windows\\system32\\APSHook.dll c:\\windows\\system32\\Ati2evxx.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASWLNPkg.dll c:\\program files\\asus security center\\asus security protect manager\\bin\\ItMsg.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\TrayIcon.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\bin\\brand.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\AsChnl.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItDAC.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItReports.DLL c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\BioAuth.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASBioAT.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItVCClient.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\AuthWiz.dll - - - - - - - > \'lsass.exe\'(1032) c:\\windows\\system32\\APSHook.dll c:\\program files\\asus security center\\asus security protect manager\\bin\\ASWLNPkg.dll c:\\program files\\asus security center\\asus security protect manager\\bin\\ItMsg.dll . Czas ukończenia: 2009-05-07 17:18 ComboFix-quarantined-files.txt 2009-05-07 15:18 Przed: 44 721 270 784 bajtów wolnych Po: 44 735 090 688 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS [operating systems] c:\\cmdcons\\BOOTSECT.DAT=\"Microsoft Windows Recovery Console\" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /fastdetect /NoExecute=OptOut 180 Komp strasznie zamula. Używam Avasta Home Edition. Wiem że nie jest zbyt dobrym programem Trzeba go zmienić Nie mogę tego rootkit'a usunąć. Format nie pomógł:/
Gość komentarz 7 maja 2009 komentarz 7 maja 2009 Wklej do Notatnika: File::C:\boyedt.comE:\boyedt.comFolder::c:\program files\AskBarDisRegistry::[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] [HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}\"=-[-HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [-HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. .
felo188 komentarz 7 maja 2009 Autor komentarz 7 maja 2009 Oto log: ComboFix 09-05-06.08 - Lukasz 2009-05-07 18:07.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1623 [GMT 2:00] Uruchomiony z: c:\\documents and settings\\Lukasz\\Pulpit\\ComboFix.exe Użyto następujących komend :: c:\\documents and settings\\Lukasz\\Pulpit\\CFScript.txt AV: avast! antivirus 4.8.1201 [VPS 080611-1] *On-access scanning disabled* (Outdated) FILE :: C:\\boyedt.com E:\\boyedt.com . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\\boyedt.com c:\\program files\\AskBarDis c:\\program files\\AskBarDis\\bar\\bin\\askBar.dll c:\\program files\\AskBarDis\\bar\\bin\\askPopStp.dll c:\\program files\\AskBarDis\\bar\\bin\\psvince.dll c:\\program files\\AskBarDis\\bar\\Settings\\config.dat c:\\program files\\AskBarDis\\bar\\Settings\\config.dat.bak c:\\program files\\AskBarDis\\bar\\Settings\\prevCfg2.htm c:\\program files\\AskBarDis\\unins000.dat c:\\program files\\AskBarDis\\unins000.exe E:\\boyedt.com . ((((((((((((((((((((((((( Pliki utworzone od 2009-04-07 do 2009-05-07 ))))))))))))))))))))))))))))))) . 2009-05-07 15:06 . 2009-05-07 15:06 -------- d-----w c:\\program files\\Trend Micro 2009-05-05 12:17 . 2005-02-24 22:00 22016 ----a-w c:\\windows\\system32\\esccmd.dll 2009-05-05 12:17 . 2005-02-24 22:00 46080 ----a-w c:\\windows\\system32\\escimgd.dll 2009-05-05 12:17 . 2005-02-24 22:00 29696 ----a-w c:\\windows\\system32\\escwiad.dll 2009-05-05 12:17 . 2004-09-10 21:12 49152 ----a-w c:\\windows\\system32\\E_DCINST.DLL 2009-05-05 12:17 . 2000-06-07 02:01 34304 ----a-w c:\\windows\\system32\\E_FBCHACE.DLL 2009-05-05 12:17 . 2003-05-21 03:27 64000 ----a-w c:\\windows\\system32\\E_FBCBACE.DLL 2009-05-05 12:17 . 2004-11-25 06:07 79679 ----a-w c:\\windows\\system32\\E_FLMACE.DLL 2009-05-05 12:17 . 2004-08-03 21:01 25856 -c--a-w c:\\windows\\system32\\dllcache\\usbprint.sys 2009-05-05 12:17 . 2004-08-03 21:01 25856 ----a-w c:\\windows\\system32\\drivers\\usbprint.sys 2009-05-05 12:16 . 2009-05-05 12:17 -------- d-----w c:\\program files\\EPSON 2009-05-05 12:15 . 2009-05-05 12:17 -------- d-----w C:\\EPSON 2009-05-05 05:13 . 2009-05-05 05:13 -------- d-----w c:\\documents and settings\\Lukasz\\Dane aplikacji\\Foxit 2009-05-04 20:40 . 2003-06-18 23:31 17920 ----a-w c:\\windows\\system32\\mdimon.dll 2009-05-04 20:38 . 2009-05-04 20:38 -------- d-----w c:\\program files\\Microsoft Works 2009-05-04 20:37 . 2009-05-04 20:39 -------- d-----w c:\\windows\\SHELLNEW 2009-05-04 20:37 . 2009-05-04 20:37 -------- d-----w c:\\program files\\Microsoft.NET 2009-05-04 20:33 . 1996-11-12 10:12 19051 ----a-w c:\\windows\\system32\\DELTREE.EXE 2009-05-04 20:33 . 1998-06-17 22:00 102912 ----a-w c:\\windows\\system32\\VB6STKIT.dll 2009-05-04 20:29 . 2009-05-04 20:29 -------- d-----w c:\\windows\\system32\\Lang 2009-05-04 19:51 . 2009-05-04 19:53 -------- d-----w c:\\program files\\EPLAN 2009-05-04 19:51 . 2009-05-04 19:53 -------- d-----w c:\\documents and settings\\All Users\\Dane aplikacji\\EPLAN 2009-05-04 19:51 . 2006-11-22 08:01 693760 ----a-w c:\\windows\\system32\\drivers\\hardlock.sys 2009-05-04 19:51 . 2005-09-06 15:06 28672 ----a-w c:\\windows\\system32\\hlduinst.exe 2009-05-04 19:51 . 2006-11-30 09:06 69632 ----a-w c:\\windows\\system32\\hasp_inst_help1.dll 2009-05-04 19:51 . 2006-12-20 08:00 671112 ----a-w c:\\windows\\system32\\hdinst_windows.dll 2009-05-04 19:51 . 2006-12-20 08:00 2511360 ----a-w c:\\windows\\system32\\haspds_windows.dll 2009-05-04 19:51 . 2006-12-20 09:55 3066968 ----a-w c:\\windows\\system32\\hinstd.dll 2009-05-04 19:51 . 2002-07-26 15:02 153088 ----a-w c:\\windows\\system32\\UNWISE.EXE 2009-05-04 19:07 . 2009-05-04 19:07 98304 ----a-w c:\\windows\\system32\\qttask.exe 2009-05-04 19:02 . 2009-05-04 19:02 717296 ----a-w c:\\windows\\system32\\drivers\\sptd.sys 2009-05-04 19:02 . 2009-05-04 19:02 -------- d-----w c:\\documents and settings\\Lukasz\\Dane aplikacji\\DAEMON Tools . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-05 16:53 . 2009-05-04 16:25 86327 ----a-w c:\\windows\\pchealth\\helpctr\\OfflineCache\\index.dat 2009-05-05 14:36 . 2009-05-04 16:55 63592 ----a-w c:\\documents and settings\\Lukasz\\Ustawienia lokalne\\Dane aplikacji\\GDIPFONTCACHEV1.DAT 2009-05-04 19:48 . 2006-03-02 12:00 74648 ----a-w c:\\windows\\system32\\perfc015.dat 2009-05-04 19:48 . 2006-03-02 12:00 448586 ----a-w c:\\windows\\system32\\perfh015.dat 2009-05-04 18:41 . 2009-05-04 18:41 0 ----a-w c:\\windows\\nsreg.dat 2009-05-04 17:37 . 2009-05-04 17:37 -------- d-----w c:\\program files\\Realtek 2009-05-04 17:37 . 2009-05-04 16:43 -------- d--h--w c:\\program files\\InstallShield Installation Information 2009-05-04 17:37 . 2009-05-04 17:37 315392 ----a-w c:\\windows\\HideWin.exe 2009-05-04 17:12 . 2009-05-04 17:12 -------- d-----w c:\\program files\\ASUS 2009-05-04 16:48 . 2009-05-04 16:48 -------- d-----w c:\\program files\\ATK Hotkey 2009-05-04 16:46 . 2009-05-04 16:46 -------- d-----w c:\\program files\\ASUS Security Center 2009-05-04 16:45 . 2009-05-04 16:45 -------- d-----w c:\\program files\\Fingerprint Sensor 2009-05-04 16:43 . 2009-05-04 16:43 -------- d-----w c:\\program files\\Common Files\\InstallShield 2009-05-04 16:39 . 2009-05-04 16:39 0 ----a-w c:\\windows\\ativpsrm.bin 2009-05-04 16:31 . 2009-05-04 16:31 -------- d-----w c:\\program files\\Intel 2009-05-04 16:26 . 2009-05-04 16:26 -------- d-----w c:\\program files\\microsoft frontpage 2009-05-04 16:25 . 2006-03-02 12:00 67 --sha-w c:\\windows\\Fonts\\desktop.ini 2009-05-04 16:24 . 2009-05-04 16:24 -------- d-----w c:\\program files\\Usługi online 2009-05-04 16:22 . 2009-05-04 16:22 21856 ----a-w c:\\windows\\system32\\emptyregdb.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"CTFMON.EXE\"=\"c:\\windows\\system32\\ctfmon.exe\" [2006-03-02 15360] \"DAEMON Tools Lite\"=\"e:\\programy\\DAEMON Tools Lite\\daemon.exe\" [2008-07-04 486856] [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] \"JMB36X IDE Setup\"=\"c:\\windows\\RaidTool\\xInsIDE.exe\" [2008-06-16 36864] \"CognizanceTS\"=\"c:\\progra~1\\ASUSSE~1\\ASUSSE~1\\Bin\\ASTSVCC.dll\" [2003-12-22 17920] \"ATKHOTKEY\"=\"c:\\program files\\ATK Hotkey\\Hcontrol.exe\" [2007-08-23 229376] \"ACMON\"=\"c:\\program files\\ASUS\\Splendid\\ACMON.exe\" [2007-06-26 851968] \"HControl\"=\"c:\\windows\\ATK0100\\HControl.exe\" [2006-07-28 110592] \"avast!\"=\"e:\\programy\\Avast\\ashDisp.exe\" [2008-05-15 79224] \"QuickTime Task\"=\"c:\\windows\\system32\\qttask.exe\" [2009-05-04 98304] \"EPSON Stylus DX3800 Series\"=\"c:\\windows\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE\" [2005-02-08 98304] \"RTHDCPL\"=\"RTHDCPL.EXE\" - c:\\windows\\RTHDCPL.exe [2008-05-28 16862720] [HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] \"CTFMON.EXE\"=\"c:\\windows\\system32\\CTFMON.EXE\" [2006-03-02 15360] [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\winlogon\\notify\\OneCard] 2007-02-06 23:30 74240 ----a-r c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASWLNPkg.dll [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\windows] \"AppInit_DLLs\"=c:\\windows\\system32\\APSHook.dll HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\drivers32 \"wave1\"= serwvdrv.dll [HKEY_LOCAL_MACHINE\\system\\currentcontrolset\\control\\lsa] Notification Packages REG_MULTI_SZ scecli ASWLNPkg [HKLM\\~\\services\\sharedaccess\\parameters\\firewallpolicy\\standardprofile\\AuthorizedApplications\\List] \"%windir%\\\\system32\\\\sessmgr.exe\"= \"c:\\\\Program Files\\\\EPLAN\\\\Education\\\\1.9.6\\\\BIN\\\\W3u.exe\"= R1 aswSP;avast! Self Protection;c:\\windows\\system32\\drivers\\aswSP.sys [2009-05-04 78416] R2 ASBroker;Logon Session Broker;c:\\windows\\System32\\svchost.exe -k Cognizance [2006-03-02 14336] R2 ASChannel;Local Communication Channel;c:\\windows\\System32\\svchost.exe -k Cognizance [2006-03-02 14336] R2 aswFsBlk;aswFsBlk;c:\\windows\\system32\\drivers\\aswFsBlk.sys [2009-05-04 20560] R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\\windows\\system32\\drivers\\l151x86.sys [2009-05-04 36864] [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\svchost] Cognizance REG_MULTI_SZ ASBroker ASChannel . - - - - USUNIĘTO PUSTE WPISY - - - - Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file) . ------- Skan uzupełniający ------- . IE: E&ksport do programu Microsoft Excel - e:\\programy\\MSOffice\\OFFICE11\\EXCEL.EXE/3000 FF - ProfilePath - c:\\documents and settings\\Lukasz\\Dane aplikacji\\Mozilla\\Firefox\\Profiles\\gk440zgi.default\\ FF - prefs.js: browser.search.selectedEngine - Allegro FF - plugin: e:\\programy\\ACE Mega CoDecS Pack\\SystemS\\RealMedia\\Browser\\plugins\\nppl3260.dll FF - plugin: e:\\programy\\ACE Mega CoDecS Pack\\SystemS\\RealMedia\\Browser\\plugins\\nprpjplug.dll FF - plugin: e:\\programy\\Firefox\\plugins\\npFoxitReaderPlugin.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-07 18:08 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > \'winlogon.exe\'(596) c:\\windows\\system32\\APSHook.dll c:\\windows\\system32\\Ati2evxx.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASWLNPkg.dll c:\\program files\\asus security center\\asus security protect manager\\bin\\ItMsg.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\TrayIcon.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\bin\\brand.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\AsChnl.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItDAC.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItReports.DLL c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\BioAuth.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ASBioAT.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\ItVCClient.dll c:\\program files\\ASUS Security Center\\ASUS Security Protect Manager\\Bin\\AuthWiz.dll - - - - - - - > \'lsass.exe\'(1032) c:\\windows\\system32\\APSHook.dll c:\\program files\\asus security center\\asus security protect manager\\bin\\ASWLNPkg.dll c:\\program files\\asus security center\\asus security protect manager\\bin\\ItMsg.dll . Czas ukończenia: 2009-05-07 18:09 ComboFix-quarantined-files.txt 2009-05-07 16:09 ComboFix2.txt 2009-05-07 15:18 Przed: 44 736 090 112 bajtów wolnych Po: 44 724 977 664 bajtów wolnych 167 Czy mam teraz zrobić reset? Pytam się bo nie chce gorzej spieprzyć
Gość komentarz 7 maja 2009 komentarz 7 maja 2009 Log jest czysty. 1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 2. Z folderu "System Volume Information" usuniesz poprzez chwilowe wyłączenie "Przywracania Systemu": >Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka). 3. Wykonaj optymalizację systemu 4.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. .
felo188 komentarz 7 maja 2009 Autor komentarz 7 maja 2009 Raport z Kaspersky'ego: http://wklej.eu/index.php?id=bffc3d6cb5 Tam tylko pokazał program do ściągania plików. Nic więcej chyba. Zrobić jeszcze raz logi z HijackThis i ComboFixa?
Gość komentarz 7 maja 2009 komentarz 7 maja 2009 C:\\Documents and Settings\\Lukasz\\Pulpit\\USDownloader.rar Usuń to. Nie dawaj już logów. To na tyle. .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.